Українські держустанови продовжують використовувати російську «1С». Розбираємося, чому так і чи є альтернативи
З 2017 року компанії, які є правовласниками російського програмного забезпечення для автоматизації бізнесу «1С», перебувають під санкціями в Україні. А 2020 року до цього переліку додалась безпосередньо компанія «1С». Її продукти заборонено проводити через державні закупівлі та використовувати держустановами.
Однак ПЗ російського виробника не пішло з українського ринку. Ба більше, попри повномасштабну війну, за бюджетні кошти «1С» купують державні установи та органи місцевого самоврядування.
Це другий матеріал про небезпеку російського ПЗ після розслідування DOU щодо «1С» в Україні.
Хто контролює дотримання санкційних обмежень
Рада національної безпеки та оборони України повідомила DOU, що реалізацію та дотримання санкцій на території країни забезпечує Кабінет міністрів разом зі Службою безпеки та Національним банком.
У НБУ на наше прохання пояснити, яким чином відстежують виконання рішення РНБО про впровадження санкцій щодо компанії «1С», надали посилання на постанову 2015 року, яка, зокрема, визначає механізм блокування активів у разі накладання санкційних обмежень.
У відповіді на запит DOU у квітні 2022 року, коли ми готували попереднє розслідування, в Службі безпеки України повідомили про непоодинокі випадки використання та впровадження на об’єктах критичної інфраструктури програмного забезпечення, розробленого або виготовленого суб’єктами господарювання держави-агресора. Причиною в СБУ назвали те, що наразі санкційне законодавство містить серйозні прогалини, адже не встановлено порядок притягнення та виду відповідальності порушників санкцій.
Варто зазначити, що державним фінансовим аудитом використання інформаційних технологій займається Державна аудиторська служба, на базі якої два роки тому створили окремий підрозділ. У відомстві повідомили, що 12 липня 2022 року головний офіс Держаудитслужби скерував до своїх регіональних управлінь лист-доручення щодо контролю використання російського ПЗ, зокрема «1С».
«Використання будь-якого програмного забезпечення російського виробництва призводить до зниження рівня інформаційної безпеки держави та створює реальну небезпеку виникнення надзвичайних подій на об’єктах критичної інфраструктури. До того ж це програмне забезпечення продовжує обслуговуватись та оновлюватись шляхом проведення публічних закупівель», — підкреслили в Держаудитслужбі.
При цьому, якщо дослідити реєстр публічних закупівель Prozorro, можна знайти чимало фактів придбання програм «1С» за бюджетні кошти навіть під час повномасштабної війни.
Загроза національній безпеці
Крім того, що купівля російського ПЗ фактично спонсорує країну-агресора, в умовах повномасштабної війни використання програми «1С» загрожує національній безпеці.
Наразі неможливо повною мірою гарантувати безпечність російського ПЗ чи те, що в ньому немає недокументованих функцій, повідомили DOU в Держспецзв’язку. Це пов’язано з тим, що для перевірки цього треба мати вихідний код продукту, наданий виробником, та/або повний комплект документації на ПЗ, в якому описані ці функції:
«Використання російського підсанкційного ПЗ, а також сайтів та сервісів загалом загрожує національній безпеці держави, зокрема даним, що обробляються в автоматизованих системах, а самі такі програмні продукти є точкою входу для спонсорованих державою-агресором кібертерористів», — заявили у відомстві.
У Держспецзв’язку нагадують, що навіть спецслужби росії не рекомендують російським виробникам його використовувати, про це російське ГУР повідомляло ще у квітні цього року.
До того ж російське ПЗ через низку санкцій проти країни-агресора доволі складно, а подекуди й неможливо закупити офіційно. Це стосується і продуктів «1С»:
«Цілком імовірно, що досі використовуючи „підсанкційний софт“, компанії чи окремі несвідомі держустанови, підприємства та організації мають його піратські (неліцензійні) версії. Нагадаємо, що використання неліцензійного ПЗ аж ніяк не зменшує безпекових ризиків. Держспецзв’язку під час закупівлі ПЗ рекомендує аналізувати походження і країну-виробника та віддавати перевагу вітчизняним програмним продуктам. Зокрема, програмному забезпеченню з відкритим кодом, яке відповідає вимогам безпеки, або ліцензійному непідсанкційному програмному забезпеченню. Декларована окремими прибічниками російського ПЗ „зручність“ та „звичка“ не може бути виправданням для порушення вимог законодавства чи нехтування елементарною безпекою».
На російському гачку
Про ризики використання продуктів «1С» DOU також розповів керівник компанії TG Consulting, яка спеціалізується на софтверних бізнес-рішеннях, Ігор Сошніков. За його словами, санкції фактично не діють, адже нині й далі існує лінійка продуктів BAS, побудована на архітектурі «1С», якою наразі оперує САБ — «Спілка автоматизаторів бізнесу». Тобто після введення санкцій продукти російської компанії «1С» з українського ринку не пішли, а просто змінили назву.
«Ставлення українського бізнесу до продуктів „1С“ змінилось, але поки у країні війна, бюджетів на міграцію на інші сервіси у компаній дуже мало», — підкреслює Сошніков, зазначаючи, що замінити російське ПЗ для оперування бухгалтерією підприємств цілком можливо — є й міжнародні системи, і локальні виробники.
Щодо питань безпеки й можливості співпраці російських компаній із ворожими спецслужбами з надання інформації про своїх клієнтів Ігор Сошніков зазначив, що власник російської компанії «1С» Борис Нуралієв має відверту пропутінську позицію:
«Випадки передачі назовні інформації з „1С“ фіксувались у росії. Основне питання полягає в тому, що платформа розробляється в росії, її ніхто не контролює. І є можливість того, що розробник вимкне основну фінансову систему для 80% українського бізнесу».
Про загрозу від використання російського ПЗ зазначає і голова «Східноукраїнського технокластера» Павло Зайцев, який розробив концепцію підвищення економічної та безпекової незалежності України «1С идет вслед за рускім кораблем».
За словами Зайцева, коли він приїздив до Києва, багато років на Центральному залізничному вокзалі височіла реклама «1С». А 2014 року замість неї почали рекламувати BAS:
«Тільки сліпий не міг побачити їхньої схожості та не зрозуміти, що це один і той самий рекламодавець», — підкреслює голова кластера, стверджуючи, що вихідні коди «1С» і BAS належать російській компанії.
Крім цього, спеціаліст наголошує, що в росії, «щоб потрапити на ринок софту фінансових послуг, треба обов’язково пройти через будівлю ФСБ».
«Тому боротьба з „1С“ та її клонами в Україні повинна бути не боротьбою з якимось „іноземним софтом“. Це екзистенційна боротьба саме з російським софтом, який має на меті знизити нашу економічну спроможність та покласти країну на лопатки. Вже після того, як мій бізнес вимушено релокувався у Львів навесні цього року (раніше „Східноукраїнський технокластер“ базувався у Краматорську — ред.), я дослідив місцевий ринок ПЗ бухгалтерського обліку. Мене шокувало, що „1С“ використовують і в державних, і в комунальних, і у приватних клініках, і навіть на ринках», — наголошує Зайцев.
Головна причина використання «1С» українськими компаніями, за словами експерта, — висока вартість переходу на інший софт або відсутність якісних аналогів.
«Російський софт взагалі та „1С“ зокрема — це абсолютне зло. З ним треба боротись. І тільки спільними зусиллями ІТ, суспільства, бізнесу та влади ми переможемо. Повинна увімкнутися вся екосистема: розробники, інтегратори, навчальні та освітні заклади».
Складна мережа компаній
Після введення санкцій 2017 року щодо ДП «Єврософтпром», яка була компанією-постачальником програмного продукту «1С: Підприємство» в Україні, правонаступницею їхніх технологічних рішень в Україні стала система BAS, підтримкою якої опікується українська «Спілка автоматизаторів бізнесу». Спілку зареєстрували в липні 2017 року, тобто вже після введення санкцій щодо «дочки» російської компанії в Україні.
При цьому компанія «Єврософтпром» досі не припинила роботу попри санкції. «Спілка автоматизаторів бізнесу» має ту ж саму юридичну адресу, що й «Єврософтпром» — вулиця Депутатська, 16/8 у Києві.
Припускаємо, що вони можуть бути пов’язаними.
Раніше в головному офісі «1С» у рф нам повідомили, що продали свою українську «дочку» кіпрській компанії Chemlero Holdings Limited ще 2014 року, натякаючи, що стосунку до української компанії не мають уже багато років. Саме ця компанія наразі значиться засновницею ДП «Єврософтпром». Однак раніше в засновниках української «дочки» російської компанії була інша кіпрська компанія 1С Limited.
Згідно з реєстрами, юридична адреса обох кіпрських компаній однакова. Тому цілком вірогідно, що продаж був номінальним, а українське ДП «Єврософтпром» досі пов’язане з російською компанією «1С».
Наразі на сайті «Спілки автоматизаторів бізнесу» через пів року після початку повномасштабного вторгнення щодо цього факту з’явилась заява. В ній, зокрема, вказано, що з березня 2014 року жодної копійки за програмні продукти чи сервіси не потрапили до країни-агресора:
«Кошти, які отримуються в Україні, повністю залишалися й залишаються в Україні, за них побудована система розробки, підтримки та просування продуктів, що рекомендовані „САБ“. Кошти, які виплачуються європейським правовласникам, залишаються в західних правовласників в Європі й жодним чином не потрапляють до російської федерації».
Однак якщо за ланцюгом кіпрських офшорів приховуються російські власники, то все-таки українські гроші, зокрема бюджетні, осідають саме в їхніх кишенях. Ще й з ризиком витоку даних щодо українських компаній до ворожих спецслужб.
Ми звернулись до «Спілки автоматизаторів бізнесу», але не отримали відповіді.
На наш запит відреагував Chief of R&D в bas-soft.eu Володимир Олексієнко, який ще 2019 року представляв САБ. Він зазначив:
«Конспірологічні теорії, на які ви намагаєтесь натякати у статтях, я не підтримую. Технології, мови розробки, які ми використовуємо для того, щоб підтримувати роботу тисяч підприємств в Україні, вас не цікавлять. Не маю „мандату“ на висловлення офіційної позиції організації пресі».
На прохання надати контакти тих, хто міг би прокоментувати отриману інформацію, Олексієнко не відповів.
Авторка — Олена Чернишова.
